12/04/24
ESET сообщает о новой вредоносной кампании, нацеленной на пользователей в Южной Азии. Кампания eXotic Visit началась в ноябре 2021 года и распространяет вредоносное ПО через специализированные веб-сайты и Google Play Store.
Зараженные приложения, несмотря на предоставление легитимных функций, включают в себя код RAT-трояна XploitSPY с открытым исходным кодом. Некоторые приложения имитируют мессенджеры Alpha Chat, ChitChat и т.д., а другие приложения выдают себя за сервисы для заказа еды в Пакистане или индийскую больницу Trilife Hospital. Сообщается, что около 380 жертв загрузили приложения, имитирующие мессенджеры, и создали учетные записи, чтобы использовать их для обмена сообщениями, пишет Securitylab.
Троян XploitSPY был загружен на GitHub еще в апреле 2020 года пользователем под ником RaoMK и связан с индийской ИБ-компанией XploitWizer. Вредоносный софт может собирать чувствительные данные с зараженных устройств, включая:
- GPS-местоположение;
- записи с микрофона;
- контакты;
- SMS-сообщения;
- журналы вызовов;
- содержимое буфера обмена.
XploitSPY также способен:
- скачивать и загружать файлы;
- выводить список установленных приложений;
- извлекать детали уведомлений из WhatsApp, Facebook*, Instagram* и Gmail.
Основная цель вредоносных приложений – шпионаж, предположительно с фокусом на жертв в Пакистане и Индии. Вредоносные приложения разработаны также для перечисления файлов в нескольких каталогах, связанных со скриншотами и мессенджерами, включая WhatsApp и Telegram.
По данным ESET, злоумышленники постоянно модифицируют свой вредоносный код, добавляя обфускацию, обнаружение эмуляторов, скрытие адресов C2-серверов, использование нативной библиотеки. Если обнаруживается использование эмулятора, приложение использует поддельный C2-сервер для уклонения от обнаружения.
Распространение вредоносных приложений началось с сайтов, специально созданных для этой кампании. Сайты предоставляют ссылку на APK-файл, размещенный на GitHub. Затем распространение перешло в официальный магазин Google Play, где приложения имели незначительное количество установок — до 45. После обнаружения вредоносные программы были удалены из магазина.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
